Molto spesso le aziende ritengono che aumentare la sicurezza informatica richieda necessariamente l’acquisto e l’utilizzo di specifiche piattaforme hardware e software, dimenticandosi che è possibile fare molto attraverso gli strumenti che già si hanno a disposizione.
Per aumentare la sicurezza informatica della vostra azienda è possibile utilizzare delle configurazioni e dei piccoli accorgimenti che vi permettono di sfruttare servizi e applicativi che fanno già parte di un determinato pacchetto di licenze o del Sistema Operativo che già utilizzate.
Considerato che l’azienda “tipo” dispone di infrastruttura Microsoft Active Directory, di seguito vi illustreremo alcune best practices per impiegare al meglio tutte le risorse di cui (probabilmente) disponete.
Questo primo post rappresenta una “anticipazione” di alcuni strumenti disponibili a “costo zero” in ogni infrastruttura Microsoft enterprise: nei prossimi appuntamenti vi racconteremo come costruire una roadmap di sicurezza informatica facendo in primis leva sugli strumenti già disponibili.
Task e script schedulati
Salvataggio dei Log
Un approccio che potete utilizzare consiste nell’assicurarvi di avere un salvataggio sistematico dei log. Poniamo ad esempio il salvataggio del log dhcp di un domain controller: possiamo verificare che abilitando semplicemente il log del DHCP avremo i log DHCP salvati in file suddivisi per giorni della settimana che solitamente vengono salvati nella cartella locale del server C:Windowssystem32dhcp.
Basterà quindi implementare un task schedulato (solitamente settimanale) che salverà i dati in una share di rete. Questo stesso approccio può essere utilizzato per la conservazione degli eventi di un dominio Microsoft. Molte volte infatti desideriamo visualizzare eventi meno recenti (di 2-3 mesi prima) ma questi sono già stati sovrascritti dai log più recenti a causa di una valutazione errata o sottostimata del dimensionamento degli eventi di sicurezza informatica. Possiamo perciò schedulare un task locale con un vbscript in grado di salvare i log in una share. Di seguito un esempio vbs:
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate, (Backup, Security)}!\.rootcimv2")
Set colLogFiles = objWMIService.ExecQuery ("SELECT * FROM Win32_NTEventLogFile")
For Each objLogfile in colLogFiles
strBackupLog = objLogFile.BackupEventLog ("c:" & objLogFile.LogFileName & ".evt")
Next
Con opportune modifiche possiamo inserire la data, comprimerli ed eseguirlo su dispositivi in rete.
GPO
Esecuzione comandi di inventory
Spesso le group policy di un dominio Microsoft vengono utilizzate parzialmente o “sottovalutate”: in realtà se impiegate correttamente, rappresentano uno strumento molto versatile e “potente”. Di seguito vi riportiamo alcuni suggerimenti per sfruttarle al meglio.
- L’esecuzione di script e comandi che possono recuperare dai client informazioni significative di asset inventory. Queste informazioni possono essere successivamente reindirizzate in file di testo, tabelle o in database ai fini di storicizzazione.
- Automatizzare processi, creando simultaneamente modifiche su più server, quali scheduled task, modifiche registro, gestione utenti/gruppi locali.
- Microsoft mette a disposizione un tool “gpinventory”, che dopo la sua installazione può essere utilizzato per raccogliere informazioni da tutti i client del dominio. Basterà selezionare nella query i dati che vogliamo intercettare: user, Sistema Operativo installato, policy applicate, i programmi etc. Successivamente dovremo selezionare un set di client da esaminare e cliccare su “Run Query”: il tool ci mostrerà le informazioni desiderate e queste potranno essere salvate in un file di testo o xml, con la possibilità di renderlo scriptabile/automatico).
Gestione utenze amministrative locali
Una problematica spesso ricorrente è la gestione delle password locali dei sistemi client/server. Questo genera non pochi problemi di sicurezza interna quali password identiche per tutti i client, condivise fra numerosi utenti, difficoltà nella gestione di una quantità elevata di utenze.
Per risolvere queste problematiche Microsoft mette a disposizione il tool di gestione delle password “LAPS” (Local Administrator Password Solution) che può essere abilitato, tramite GPO, in tutti client/server. Grazie a questo software è possibile gestire centralmente ed automatizzare il processo di gestione e cambio password, rendendole univoche e conformi agli standard di sicurezza informatica. Attraverso una semplice interfaccia “server side” inserendo il nome host sarà possibile visualizzare la password che vi interessa.
Tool integrati
Assistenza remota
Quante volte il problema dell’assistenza remota è apparso sui vostri tavoli di discussione? Quante volte vi siete trovati a dover decidere come interagire con i client degli utenti, quale software scegliere?
Microsoft risolve i vostri dubbi e vi facilita la scelta mettendo a vostra disposizione un software di assistenza remota MSRA che permette all’operatore di interagire con l’utente finale, rimanendo totalmente compliant con le impostazioni di sicurezza richieste per le attività remote.
Tramite GPO è possibile abilitare il servizio e definire quali gruppi/utenti hanno il permesso di utilizzare tale servizio, rendendo il link desktop disponibile solo agli operatori. Una volta aperto basterà inserire il nome computer o l’indirizzo IP di destinazione.
Una volta che l’utente accetta la sessione di assistenza remota sarà possibile visualizzare il desktop dell’utente e chiederne il controllo sempre con il permesso dell’utente. È possibile tracciare nei log la sessione, gestire schermi multipli e chat, come i normali assistenti di terze parti.
Funzionalità dei Server Microsoft
Un altro “errore” che spesso si commette è quello di soffermarsi esclusivamente sulle funzionalità e sui ruoli che sono comunemente utilizzati nei server Microsoft, evitando di esplorare le nuove funzionalità che Microsoft ha recentemente implementato all’interno dei propri Sistemi Operativi. Vi riportiamo a titolo di esempio alcuni strumenti introdotti da Microsoft:
- IP Address Management (IPAM): gestione dell’indirizzamenti IP, con integrazione dei dati provenienti dai servizi DNS e DHCP Microsoft.
- Windows Admin Center: un nuovo sistema centralizzato, disponibile via web di management dei server del dominio.
- Storage Migration Services: uno strumento che facilita la migrazione da un sistema Windows ad un altro (inteso sia per differente hardware che per Sistema Operativo) azzerando o limitando l’impatto di tale migrazione su applicazioni ed utenti. Inoltre, può essere di supporto nella gestione dell’inventario server e nel trasferimento rapido di configurazioni parziali.
- System Insights: una funzionalità di analisi che utilizza un modello di machine learning per analizzare le performance e gli eventi nel server.
- Windows Subsystem for Linux: funzionalità che permette l’esecuzione di “applicazioni” Linux (comandi, utility, applicazioni) direttamente sui server Microsoft senza l’utilizzo di server virtuali.
Nel presente articolo vi abbiamo descritto ad alto livello solo alcune funzionalità “trascurate” disponibili senza ulteriori investimenti nelle infrastrutture Microsoft Active Directory. Approfondiremo alcuni di questi ambiti negli articoli successivi.
